• Save
Reputation services analisys
Upcoming SlideShare
Loading in...5
×
 

Reputation services analisys

on

  • 346 views

Presentation was created for IDC Security Roadshow 2012 Ekaterinburg

Presentation was created for IDC Security Roadshow 2012 Ekaterinburg

Statistics

Views

Total Views
346
Views on SlideShare
346
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • Добавить источник

Reputation services analisys Reputation services analisys Presentation Transcript

  • Анализ функциональности репутационных сервисов
  • Актуальные типы угроз• Хищение данных• Несанкционированное изменение данных• Прерывание сервиса
  • Немного статистики 35 000 Типов вредоносного ПО 150 Дневной объем спама 30 000 Тыс. Млрд. 25 000 100 20 000 15 000 10 000 50 5 000 0 0 2007 2008 2009 2007 2008 20095 000 400% Динамика роста сигнатур для IPS Вредоносных ссылок4 500 Тыс.4 000 300%3 5003 0002 500 200%2 0001 500 100%1 000 500 0 0% 2007 2008 2009 2007 2008 2009 По данным McAfee
  • Свойства «вредоносов»• Средства обхода антивирусных систем• Незаметность для конечного пользователя• Связь с центром управления через SSL-тоннель
  • Пример зараженияНачало атаки Реализация атаки Завершение атакиПользователь с Web-сайт эксплуатирует Вредонос запускается иуязвимым браузером уязвимость; зловред открываетзаходит на скачивается на бэкдор, позволяющийскомпрометированый пользовательскую получить доступ к важнойweb-сайт систему информации
  • Ключевые векторы атаки• Почтовые сообщения• Зараженные файлы• Вредоносные ссылки• Сетевые атаки
  • Идеология построения систем ИБ• Эшелонированная защита (Defence-in-depth): – Защита на уровне сети, рабочей станции, сервера – Использование различных механизмов обнаружения вредоносного ПО – Использование продуктов различных вендоров Периметр Сеть Хост Приложение Данные
  • Требования к системе обнаружения вредоносного ПО• Оперативность• Минимальное влияние на производительность работы пользователей• Низкий уровень ложных срабатываний
  • Механизмы обнаружения вредоносного ПО• Сигнатурный• Эвристический• Белые/черные списки• Репутационный
  • Сигнатурный анализОбнаружение вредоносов, по характерному отпечатку(сигнатуре)Преимущества:• Низкий процент ложных срабатыванийПроблемы:• Необходимо постоянное обновление БД• При росте количества вредоносов БД будет расти, занимая больше места и снижая производительность• Не работает против неизвестных вредоносов
  • Эвристический анализОбнаружение вредоносов по поведению на хостеПреимущества:• Механизм не зависит от базы данных сигнатурНедостатки:• Высокий уровень ложных срабатываний при «строгих» настройках• Низкий уровень эффективности при «мягких» настройках
  • Черные/белые спискиПроверка запуска процессов/запущенных программ – Запрет запуска определенного набора ПО (черный список) – Разрешение запуска явно определенного набора ПО (белый список)Преимущества:• Снижение зависимости безопасности серверов от обновлений ПО, которые не могут быть поставлены оперативно• Возможность работы без обновлений антивирусных базНедостатки:• Трудоемкий процесс поддержания списков в актуальном состоянии
  • Репутационный анализХеш (или контрольная сумма) проверяемого объекта (файла,почтового сообщения, URL-ссылки) отправляется воблачный сервис, который возвращает репутацию объекта(плохой, скорее плохой, средний, скорее хороший, хороший)Преимущества:• Мгновенная реакция на изменение репутации объекта• Минимальные затраты ресурсов (временных, вычислительных) на проверку объектов• Возможность кросс-векторного анализа объектов (URL-ссылка из спам-письма будет также иметь плохую репутацию)Недостатки:• Необходимость постоянного подключения к Интернет• Дополнительный входящий-исходящий трафик• Зависимость от функционирования облачного сервиса
  • Эффективность репутационного анализа (почта) Облачный ЛокальныйИнтернет Статистический Репутация Репутация Анализ и эвристический Почтовый IP-адреса сообщения соединения анализ сервер Фильтрация ~ 99.5% спама Фильтрация ~ 90% спама Фильтрация ~ 80% спама Фильтрация ~ 50% спама
  • Эффективность репутационного анализа (файлы) Обнаружено с помощью сигнатур Обнаружено с помощью репутационного сервиса McAfee GTI140,000120,000 Увеличение эффективности100,000 на 35% 80,000 Увеличение 60,000 эффективности на 25% 40,000 20,000 - Sep/10 Oct/10 Nov/10 Dec/10 По данным McAfee
  • Источники• Исследовательские лаборатории• Интернет-сканеры• Развернутые продукты Чем больше узлов, работающих с сервисом – тем он эффективнее!
  • Сравнительный анализ Вендор Blue Coat Check point Cisco Ironport Kaspersky Cisco IronPort Blue Coat Web Check Point Kaspersky Security Название Pulse ThreatCloud SenderBase Network Security Network URL-ссылки, URL-ссылки, URL-ссылки, Вектор URL-ссылки, сетевые почтовые почтовые анализа файлы подключения, сообщения, сообщения, файлы файлы файлы Уровень Сеть Сеть Сеть Хост/Сеть защиты Kaspersky Internet Security, Kaspersky Cisco Email Check Point Endpoint Продукты Blue Coat ProxySG Security Gateway Security; Cisco Protection, Web Security Kaspersky Mail Security Гранулярная Обнаружение и Старейшая сеть,Особенности работа с Web- защита от бот- представлена в страницами сетей 2003 г.
  • Сравнительный анализ Вендор McAfee Symantec Palo Alto Symantec Insight/ Global Threat Название Intelligence Global Intelligence Palo Alto WildFire Network URL-ссылки, сетевые URL-ссылки,Вектор анализа подключения, файлы, почтовые сообщения, файлы почтовые сообщения файлыУровень защиты Хост/Сеть Хост/Сеть Сеть McAfee Total Protection, McAfee DLP, McAfee Risk Norton Internet Security, Advisor, McAfee Web Symantec Endpoint Gateway, McAfee Mail Продукты Gateway, McAfee Network Protection 12, Symantec ПАК Palo Alto Firewall Web Gateway, Symantec Security Platform, McAfee Messaging Gateway Enterprise Security Manager Кросс-векторный Автоматическая Особенности репутационный генерация сигнатур анализ
  • Примеры реализации репутационных сервисов
  • Kaspersky Security NetworkЗадача:Защита домашних и корпоративных рабочих станций от вредоносныхфайлов, почтовых собщений, URL-ссылокВ каких продуктах используется:• Домашние, начиная с Kaspersky Internet Security 2009• Корпоративные, начиная с Kaspersky Endpoint Security 8 for Windows• Kaspersky Security для почтовых серверовАнтивирусные агенты отправляют в облако:• Информацию о контрольных суммах обрабатываемых файлов• Информацию для определения репутации URL• Статистические данные для защиты от спама
  • Check Point ThreatCloudЗадача:Защита корпоративной сети на уровне сети от вредоносного ПО,обнаружение активности бот-сетейВ каких продуктах используется:• Программные и аппаратные межсетевые экраны на базе Check Point Security Gatewayя R75.40Отправляет в облако:• Информацию о типе зафиксированной атаки• IP-адрес источника атакиОсобенности:• Обнаружение в проверяемом трафике признаков коммуникации ботов и центров управления• Блокировка взаимодействия ботов и командных центров бот-сетей
  • McAfee Global Threat IntelligenceЗадача:Защита корпоративных пользователей от вредоносного ПО, спама,сетевых атакВ каких продуктах используется:• Межсетевой экран, cетевой IPS, Анти-спам, web-шлюз, антивирус для рабочих станций, SIEM и др.Отправляет в облако:• Хеши проверяемых объектов• IP-адреса, с которых был получены вредоносные файлы, спам- сообщения• URL-ссылки, на которых найдены вредоносные элементыОсобенности:• Интеграция с большим количеством продуктов• Кросс-векторный анализ репутаций объектов
  • Резюме• Современное вредоносное ПО крайне сложно остановить• Необходим системный подход – эшелонированная защита, комбинация различных механизмов обнаружения вредоносного ПО• Репутационные сервисы значительно повышают эффективность средств ИБ
  • Спасибо за внимание!TopS Business Integrator105082, Москва, ул. Большая Почтовая, д.18тел.: (495) 797-9966, факс: (495) 797-9967, e-mail: info@topsbi.ru